本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在亚马逊 WorkSpaces 安全浏览器上完成 IdP 配置
<a name="upload-metadata"></a>

要在 WorkSpaces 安全浏览器上完成 IdP 配置，请按照以下步骤操作。

1. 返回 WorkSpaces 安全浏览器控制台。在创建向导的**配置身份提供者**页面的 **IdP 元数据**下，上传元数据文件，或输入来自您的 IdP 的元数据 URL。该门户使用来自 IdP 的这些元数据来建立信任。

1. 要上传元数据文件，请在 **IdP 元数据文档**下，选择**选择文件**。上传您在上一步中下载的 XML 格式的 IdP 元数据文件。

1. 要使用元数据 URL，请前往您在上一步中设置的 IdP，并获取其**元数据 URL**。返回 WorkSpaces 安全浏览器控制台，在 **IdP 元数据 URL** 下，输入您从 IdP 获得的元数据 URL。

1. 完成后，选择**下一步**。

1. 对于启用了**需要此提供者提供加密的 SAML 断言**选项的门户，您需要从门户 IdP 详细信息部分下载加密证书，并将其上传到您的 IdP。然后，可以在那里启用该选项。
**注意**  
WorkSpaces 安全浏览器要求在 IdP 设置的 SAML 断言中映射和设置主题或名称 ID。您的 IdP 可以自动创建这些映射。如果这些映射配置不正确，您的用户将无法登录 Web 门户并启动会话。  
WorkSpaces 安全浏览器要求在 SAML 响应中包含以下声明。您可以通过控制台或 CLI {{<Your SP ACS URL>}} 从门户的服务提供商详细信息或元数据文档中查找{{<Your SP Entity ID>}}和查找。  
一项 `AudienceRestriction` 声明，所具有的 `Audience` 值将您的 SP 实体 ID 设置为响应的目标。示例：  

     ```
     <saml:AudienceRestriction>
         <saml:Audience><Your SP Entity ID></saml:Audience>
     </saml:AudienceRestriction>
     ```
一项 `Response` 声明，具有原始 SAML 请求 ID 的 `InResponseTo` 值。示例：  

     ```
     <samlp:Response ... InResponseTo="<originalSAMLrequestId>">
     ```
一项 `SubjectConfirmationData` 声明，具有 SP ACS URL 的 `Recipient` 值，以及与原始 SAML 请求 ID 匹配的 `InResponseTo` 值。示例：  

     ```
     <saml:SubjectConfirmation>
         <saml:SubjectConfirmationData ... 
             Recipient="<Your SP ACS URL>"
             InResponseTo="<originalSAMLrequestId>"
             />
     </saml:SubjectConfirmation>
     ```
WorkSpaces 安全浏览器会验证您的请求参数和 SAML 断言。对于 IdP 发起的 SAML 断言，必须将您的请求的详细信息的格式设置为 HTTP POST 请求正文中的 `RelayState` 参数。请求正文还必须包含您的 SAML 断言，作为 `SAMLResponse` 参数。如果您已经执行了上一步操作，则这两个参数都应该存在。  
以下是 IdP 发起的 SAML 提供者的 `POST` 正文示例。  

   ```
   SAMLResponse=<Base64-encoded SAML assertion>&RelayState=<RelayState> 
   ```